Trojan.Cryptolocker.G

CH azonosító

CH-11440

Angol cím

Trojan.Cryptolocker.G

Felfedezés dátuma

2014.07.20.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 98
Windows 95
Windows XP
Windows Server 2008
Windows 7
Windows Me
Windows Vista
Windows NT
Windows Server 2003
Windows 2000

Összefoglaló

A Cryptolocker trójai az elődjei az általa kifejtett negatív hatások eredményeként széles körű ismertséget szerzett. A Cryptolocker “G” betűjelű variánsa is ugyanolyan kockázatot jelent mint az elődje, mivel hasonló veszélyt jelent a felhasználóra. A rendszeren tárolt fájlokat a titkosítás miatt használhatatlanná teszi, majd pénzt követel a dekódoláshoz szükséges információkért. A Tor hálózatok segítenek eltüntetni a tranzakciók nyomait. Semmi sem garantálja azonban, hogy a fizetés után a helyreállításhoz szükséges információk meg is érkezzenek. Ezért a hangsúlyt a megelőzésre célszerű fektetni.

A Cryptolocker.G a Windows és a felhasználó könyvtáraiba másolja be a saját állományait, és megkeresi azokat a fájlokat, amelyeket titkosítani akar. A fájlok lehetnek tanúsítványok, dokumentumok, adatbázisok, valamint Excel munkafüzetek, stb. A fájlokat megtaláltva azonnal elvégzi azok titkosítását. Az állományokat “.ctbl” kiterjesztéssel látja el.

A Cryptolocker.G a követelését a Windows háttérkép lecserélésével közli a felhasználóval.

Leírás

1. A következő állományt hozza létre:
%Temp%[véletlenszerű karakterek].exe
%UserProfile%My Documents[véletlenszerű karakterek].html
%UserProfile%My DocumentsAllFilesAreLocked[véletlenszerű karakterek].bmp
%UserProfile%My DocumentsDecryptAllFiles[véletlenszerű karakterek].txt
%Windir%Tasks[véletlenszerű karakterek].job
2. A fertőzött számítógépen felkutatja az összes olyan fájlt, amelyek az alábbi kiterjesztésekkel rendelkeznek:
cer
crt
db
dbf
der
doc
docm
docx
groups
kwm
mdb
mdf
pem
pwm
rtf
safe
sql
txt
xlk
xls
xlsb
xlsm
xlsx
3. Titkosítja a fenti fájlokat, és egy karaktersorozattal egészíti ki a kiterjesztésüket “.ctbl”.
4.A háttérképet módosítja:
%UserProfile%My DocumentsAllFilesAreLocked[véletlenszerű karakterek].bmp
5. A felhasználót tudatja a tevékenységéről.

Hivatkozások

Egyéb referencia: www.symantec.com


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »